18 décembre 2023
Cette année, le volume des attaques d'identité générées par l'IA a atteint un tel niveau qu'il est devenu un sujet de préoccupation pour les consommateurs, les organisations et même les dirigeants du monde entier. La biométrie est une force transformatrice qui modifie la façon dont les individus interagissent avec les systèmes numériques et dont les organisations protègent les informations sensibles. À l'approche de 2024, le paysage de l'identité numérique s'apprête à connaître des avancées significatives, avec des innovations destinées à redéfinir la vérification, à élever les normes de sécurité et à améliorer l'expérience des utilisateurs.
Rejoignez-nous pour plonger dans l'avenir imminent de la biométrie, où la fusion de la science et de la sécurité promet un changement de paradigme dans la façon dont nous nous authentifions, nous identifions et nous protégeons dans le domaine numérique.
1. La biométrie deviendra la pierre angulaire de l'infrastructure de sécurité du marché américain des services financiers
Au cours de l'année écoulée, de nombreux organismes de services financiers ont développé l'accès numérique à distance pour répondre à la demande des utilisateurs. Toutefois, cela a élargi la surface d'attaque numérique et créé des opportunités pour les fraudeurs. Le secteur des services financiers américain a été plus lent à adopter les technologies d'identité numérique que d'autres régions, ce qui pourrait être attribué aux défis auxquels il est confronté en matière de réglementation de l'interopérabilité et de l'échange de données.. Pourtant, avec la fraude à l'identité synthétique devrait générer des pertes d'au moins 23 milliards de dollars d'ici 2030, la pression monte de tous les côtés.la pression monte de tous les côtés. Les consommateurs s'attendent à pouvoir ouvrir des comptes et accéder à des services à distance avec rapidité et facilité, tandis que les fraudeurs sapent la sécurité par le biais de canaux en ligne et détournent de l'argent. Dans le même temps, il existe une menace sérieuse de non-conformité en matière de connaissance du client (KYC) et de lutte contre le blanchiment d'argent (AML). Ces infractions sont passibles d'amendes considérables, voire de poursuites pénales. En outre, il existe un risque accru de contournement des sanctions et de financement d'États adversaires. En réponse, de nombreuses institutions financières sont incitées à prendre des mesures. Il s'agit de remplacer les processus lourds d'intégration et les méthodes d'authentification dépassées telles que les mots de passe et les codes d'accès par des technologies avancées permettant d'intégrer et d'authentifier à distance les clients existants des services bancaires en ligne.
L'un des pionniers est la technologie de vérification biométrique faciale, qui offre une commodité et une accessibilité inégalées pour les clients tout en posant des défis de sécurité inégalés pour les adversaires. De plus en plus d'institutions financières reconnaîtront que la vérification biométrique va remodeler et redéfinir l'impact positif que la technologie peut avoir sur l'équilibre entre la sécurité et l'expérience du client, et elles passeront à l'action.
2. Le nombre de pays en développement qui mettent en place des programmes d'identité numérique basés sur l'identité décentralisée augmentera rapidement.
On estime à 850 millions le nombre de personnes dans le monde qui ne disposent pas d'une forme légale d'identificationSans identité, les gens ont du mal à ouvrir un compte bancaire, à trouver un emploi et à accéder aux soins de santé, ce qui les exclut financièrement. Les programmes d'identité numérique améliorent l'accès aux services et aux opportunités numériques. Ils permettent aux personnes d'affirmer leur identité, d'accéder à des plateformes en ligne et de participer à des initiatives gouvernementales numériques. Soutenus par des investissements de la Banque mondiale, les programmes d'identité numérique peuvent aider les économies moins avancées à prévenir l'usurpation d'identité et la fraude, et fournir un moyen alternatif de prouver leur identité et d'accéder à des services essentiels tels que les prestations sociales, les soins de santé et l'éducation. Basés sur une identité décentralisée, ces programmes permettront aux utilisateurs de stocker et d'échanger numériquement des documents d'identité, tels qu'un permis de conduire, et des titres, tels que des diplômes, et de s'authentifier sans l'intervention d'une autorité centrale. Une identité décentralisée donne le contrôle à l'utilisateur en lui permettant de gérer son identité dans le cadre d'une approche distribuée. Elle offrira la commodité que les utilisateurs finaux exigent aujourd'hui et ouvrira des voies essentielles pour que des personnes auparavant défavorisées ou marginalisées puissent accéder à des services financiers et sociaux.
3. Les appels vidéo à distance pour vérifier l'identité seront interdits
Lavérification par appel vidéo implique un appel vidéo individuel entre l'utilisateur et un opérateur formé. L'utilisateur est invité à présenter une pièce d'identité et l'opérateur la compare à son visage. Cependant, il est prouvé que la vérification des appels vidéo n'offre que peu d'assurance que l'utilisateur final est une personne "vivante" et non une image artificielle produite par une IA générative et superposée de manière convaincante au visage de l'acteur de la menace.
A titre d'exemple, in 2022, des chercheurs du Chaos Computer Club ont réussi à contourner la technologie de vérification des appels vidéo en utilisant l'IA générative et une fausse pièce d'identité. L'affaire a montré que cette technologie, et les opérateurs humains sur lesquels elle repose, sont très sensibles aux attaques par imagerie synthétique. L'Office fédéral allemand de la sécurité de l'information a depuis mis en garde contre la vérification des appels vidéo en raison de sa vulnérabilité à ces attaques.
Si les programmes d'identité numérique ne peuvent pas se défendre contre la menace des deepfakes lors de l'intégration et de l'authentification, ils seront exploités à des fins criminelles, telles que la fraude aux paiements, le blanchiment d'argent et le financement du terrorisme. C'est pourquoi les régulateurs des services financiers s'apprêtent à interdire les méthodes de vérification par appel vidéo et à recommander le choix de méthodes plus fiables basées sur des hybrides combinant l'appariement automatisé de l'IA et la détection de la concordance avec la supervision humaine du processus d'apprentissage automatique.
4. Les organisations introduiront l'authentification mutuelle entre les employés pour les communications à haut risque et l'intégration à distance des nouveaux employés.
Les organisations s'appuyant de plus en plus sur les moyens numériques pour les communications confidentielles, il est primordial de mettre en place des mesures de cybersécurité solides afin de réduire les risques. L'introduction de l'authentification mutuelle pour les communications et les transactions à haut risque est une mesure de sécurité cruciale qui ajoute une couche supplémentaire de protection contre les accès non autorisés et les menaces potentielles. En outre, dans certains secteurs, la conformité réglementaire impose la mise en œuvre de mesures de sécurité robustes. L'authentification mutuelle aide les organisations à répondre à ces exigences de conformité en démontrant leur engagement à garantir des canaux de communication sécurisés et à protéger les informations sensibles.
5. Les violations de données d'entreprise vont tripler en raison des attaques réussies générées par l'IA
Depuis quelques années, les organisations et les particuliers s'appuient sur les fautes d'orthographe et de grammaire pour repérer les courriels de phishing. Ce temps est révolu. La qualité du Chat GPT est telle que les acteurs de la menace peuvent désormais l'utiliser pour générer des attaques de phishing de haute qualité dans des communications très convaincantes sans aucun indice suspect. En conséquence, l'année 2024 sera marquée par une forte augmentation de la qualité et du volume des attaques de phishing générées par l'IA. Les formations de sensibilisation à la sécurité deviendront un outil redondant et les organisations seront contraintes de rechercher des méthodes alternatives et plus fiables pour authentifier de manière fiable les utilisateurs internes et externes de leurs plateformes.
6. Les kits de synthèse vocale et vidéo "Crime-as-a-Service" franchiront la barre des 100 $.
Lacriminalité en tant que service et la disponibilité d'outils en ligne accélèrent l'évolution du paysage des menaces, permettant aux criminels de lancer des attaques avancées plus rapidement et à plus grande échelle. Si les attaques réussissent, elles augmentent rapidement en volume et en fréquence, amplifiant le risque de dommages graves.
Les mauvais acteurs utilisent une technologie d'IA générative sophistiquée pour créer et lancer des attaques afin d'exploiter les systèmes de sécurité des organisations et d'escroquer les particuliers. iProov a été témoin d'indications similaires selon lesquelles des criminels peu qualifiés acquièrent la capacité de créer et de lancer des attaques avancées à l'aide d'images synthétiques. Dans son dernier rapport sur les menaces biométriquesnous avons constaté l'émergence et la croissance rapide de nouveaux échanges de visages par vidéo. Les échanges de visages sont une forme d'imagerie synthétique dans laquelle l'acteur de la menace transforme plus d'un visage pour créer une nouvelle fausse vidéo en 3D.
Le coût des ressources nécessaires pour lancer des attaques diminue et nous nous attendons à ce que les kits de Crime-as-a-Service tombent en dessous de 100 dollars.
7. Le potentiel de l'IA pour diffuser de la désinformation politique fera de l'authentification de l'auteur des images et du contenu écrit un outil juridiquement obligatoire.
À l'approche des élections, une pléthore de fausses vidéos générées par l'IA seront utilisées pour persuader les électeurs. Pour contrer ce phénomène, les entreprises technologiques s'efforceront de fournir des moyens de vérifier l'authenticité des images qu'elles téléchargent. Par exemple, des solutions permettant de filigraner les images et de les signer lorsqu'elles sont créées ou modifiées.
L'année 2024 verra probablement de nombreuses tentatives dans ce domaine, car l'utilisation de "deepfakes" est très répandue. Tout contenu utilisant des images devra impérativement offrir un moyen de garantir leur authenticité, faute de quoi ces images seront dévalorisées.
8. Un appel Zoom généré par l'IA aboutira à la première fraude d'un milliard de dollars de la part d'un PDG
La fraude des chefs d'entreprise vise au moins 400 entreprises par jour et représente une menace importante pour les organisations du monde entier. Dans ce type de délit, les attaquants se font passer pour des cadres supérieurs de l'entreprise et tentent de tromper les employés pour qu'ils transfèrent des fonds, divulguent des informations sensibles ou entreprennent d'autres activités frauduleuses. Il s'agit souvent d'attaques d'ingénierie sociale sophistiquées, ce qui les rend difficiles à détecter. Les outils d'IA générative sont désormais largement utilisés par les fraudeurs pour créer des imitations profondes d'une personne. Les mauvais acteurs peuvent désormais créer des sons et des images convaincants générés par l'IA et les déployer sur des plateformes telles que Zoom, Microsoft Teams et Slack. Sans outils de surveillance et de détection sophistiqués, il est presque impossible de détecter ce type d'images synthétiques. Ainsi, nous nous attendons à ce qu'un appel Zoom généré par l'IA conduise à la première fraude d'un milliard de dollars de la part d'un PDG en 2024.